Blob 儲存體的加密範圍
加密範圍可讓您使用範圍為容器或個別 Blob 的金鑰來管理加密。 您可以使用加密範圍,在位於相同儲存體帳戶但屬於不同客戶的資料之間建立安全界限。
如需使用加密範圍的詳細資訊,請參閱 建立和管理加密範圍。
加密範圍如何運作?
根據預設,儲存體帳戶會以限定於整個儲存體帳戶的金鑰加密。 當您定義加密範圍時,會指定可能範圍設定為容器或個別 blob 的金鑰。 將加密範圍套用至 blob 時,會使用該金鑰來加密 blob。 當加密範圍套用至容器時,它會作為該容器中 Blob 的預設範圍,如此一來,上傳至該容器的所有 Blob 都可以使用相同的金鑰來加密。 您可以設定容器來強制執行容器中所有 Blob 的預設加密範圍,或允許個別的 Blob 上傳至具有非預設加密範圍的容器。
只要加密範圍未停用,就會以透明的方式在使用加密範圍建立的 Blob 上進行讀取作業。
金鑰管理
當您定義加密範圍時,可以指定範圍是以受 Microsoft 管理的金鑰或以客戶管理的金鑰(儲存在 Azure Key Vault 中)來保護。 相同儲存體帳戶上的不同加密範圍可以使用 Microsoft 管理或客戶管理的金鑰。 您也可以隨時將用來保護加密範圍的金鑰類型,從客戶管理的金鑰切換至 Microsoft 管理的金鑰,反之亦然。 如需關於客戶自控金鑰的詳細資訊,請參閱客戶自控金鑰進行 Azure 儲存體加密。 如需有關 Microsoft 管理的金鑰詳細資訊,請參閱關於加密金鑰管理。
如果您使用客戶管理的金鑰定義加密範圍,您可以選擇自動或手動更新金鑰版本。 如果您選擇自動更新金鑰版本,則 Azure 儲存體會每天檢查 key vault 或受控 HSM 是否有新版本的客戶管理金鑰,並將金鑰自動更新為最新版本。 如需更新客戶管理金鑰金鑰版本的詳細資訊,請參閱 更新金鑰版本。
Azure 原則提供內建原則,要求加密範圍使用客戶管理的金鑰。 如需詳細資訊,請參閱 Azure 原則內建原則定義中的儲存體一節。
儲存體帳戶最多可有10000個加密範圍,並使用客戶管理的金鑰來保護金鑰版本會自動更新。 如果您的儲存體帳戶已經有10000加密範圍,且這些加密範圍受到受客戶管理金鑰的保護,且這些金鑰會自動更新,則必須針對以客戶管理的金鑰保護的任何其他加密範圍,手動更新金鑰版本。
基礎結構加密
Azure 儲存體中的基礎結構加密可對資料進行雙重加密。 啟用基礎結構加密時,資料會加密兩次;一次在服務等級,一次在基礎結構等級,且會使用兩個不同的加密演算法和兩個不同的金鑰。
加密範圍以及儲存體帳戶層級都支援基礎結構加密。 如果已針對帳戶啟用基礎結構加密,則在該帳戶上建立的任何加密範圍都會自動使用基礎結構加密。 如果未在帳戶層級啟用基礎結構加密,則可在建立範圍時,選擇為加密範圍啟用此功能。 建立範圍之後,便無法變更加密範圍的基礎結構加密設定。
若要深入了解基礎結構加密,請參閱 針對資料的雙重加密啟用基礎結構加密。
容器和 blob 的加密範圍
當您建立容器時,您可以針對後續上傳至該容器的 blob,指定預設的加密範圍。 當您指定容器的預設加密範圍時,您可以決定如何強制執行預設加密範圍:
- 您可以要求上傳至容器的所有 blob 都使用預設的加密範圍。 在此情況下,會使用相同的金鑰來加密容器中的每個 Blob。
- 您可以允許用戶端覆寫容器的預設加密範圍,如此一來,就可以使用預設範圍以外的加密範圍上傳 Blob。 在此情況下,容器中的 Blob 可能會以不同的金鑰加密。
下表摘要說明 Blob 上傳作業的行為,這取決於如何設定容器的預設加密範圍:
| 在容器上定義的加密範圍為... | 正在上傳具有預設加密範圍的 Blob... | 正在以預設範圍以外的加密範圍上傳 Blob... |
|---|---|---|
| 允許覆寫的預設加密範圍 | 成功 | 成功 |
| 禁止覆寫的預設加密範圍 | 成功 | 失敗 |
建立容器時,必須指定容器的預設加密範圍。
如果未指定容器的預設加密範圍,您可以使用您為儲存體帳戶定義的任何加密範圍上傳 blob。 您必須在上傳 blob 時指定加密範圍。
注意
上傳具有加密範圍的新 Blob 時,您無法變更該 Blob 的預設存取層。 您也無法為使用加密範圍的現有 Blob 變更存取層。 如需存取層的詳細資訊,請參閱 Blob 資料的經常性存取層、非經常性存取層,以及封存存取層。
停用加密範圍
當您停用加密範圍時,任何使用加密範圍進行的後續讀取或寫入作業都會失敗,並出現 HTTP 錯誤碼 403 (禁止)。 如果您重新啟用加密範圍,讀取和寫入作業將會再次正常執行。
如果您使用客戶管理的金鑰來保護加密範圍,且您撤銷金鑰保存庫中的金鑰,資料將變成無法存取。 撤銷金鑰保存庫中的金鑰之前,請務必停用加密範圍,以避免針對加密範圍收取費用。
請記住,客戶管理的金鑰受限於金鑰保存庫中的虛刪除和清除保護,而且已刪除的金鑰受限於這些屬性所定義的行為。 如需詳細資訊,請參閱 Azure Key Vault 檔中的下列其中一個主題:
重要
加密範圍是無法刪除的。
加密範圍的計費
啟用加密範圍時,最少需要支付 30 天的費用。 30 天後,加密範圍的費用會按小時依比例計算。
啟用加密範圍之後,若在 30 天內停用加密範圍,您仍需支付 30 天的費用。 若在 30 天後停用加密範圍,則需支付這 30 天的費用,加上加密範圍在 30 天後生效的時數。
停用任何不需要的加密範圍來避免不必要的費用。
若要了解加密範圍的定價,請參閱 Blob 儲存體定價。
功能支援
啟用 Data Lake Storage Gen2、網路檔案系統 (NFS) 3.0 通訊協定,或 SSH 檔案傳輸通訊協定 (SFTP),可能會影響到此功能的支援。 如果您已啟用上述任何功能,請參閱 Azure 儲存體帳戶中的 Blob 儲存體功能支援,以評估此功能的支援。